电厂密码安全防护方案
项目背景
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。《中华人民共和国网络安全法》、《中华人民共和国密码法》、GB/T 22239-2019《网络安全等级保护基本要求》、GB/T 39786-2021《信息系统密码应用基本要求》等政策标准的颁布实施,从法律和规范层面为开展商用密码应用提供了根本遵循。电力行业是关系国计民生的重要基础产业,一旦遭受网络攻击,容易发生大面积停电、交通瘫痪、设备损坏等危害。因此,亟需加强电力设施的密码安全建设,打造网络安全防护密码屏障。
方案介绍
以水电厂的水电计算机监控系统为例:方案按照39786的技术标准进行制定, 整体划分为两个阶段,一阶段完成水电厂计算机监控系统的物理环境和设备计算的密码应用,二阶段完成水电计算机监控系统的升级改造,满足网络层和应用层的密码应用。
一阶段:首先对计算机监控系统所在机房的门禁系统进行升级替换,替换为符合国密局要求的国密门禁系统,通过国密门禁系统完成出入机房人员的身份鉴别和记录完整性校验,然后新增符合国密局要求的国密NVR系统,通过国密NVR系统完成机房视频记录的完整性校验。最后,在水电厂计算机监控系统部署国密堡垒机和日志审计系统(国密),为管理人员和运维人员配发USBKey(存放人员证书),通过堡垒机完成运维人员的身份鉴别和操作审计,通过日志审计系统(国密)收集服务器、网络设备、安全设备等设备的日志信息,完成日志记录的完整性校验。
二阶段:新增服务器密码机、签名验签服务器、时间戳服务器、数字证书认证系统和密钥管理系统,对计算机监控系统进行接口改造和业务逻辑升级,水电计算机监控系统通过调用服务器密码机,对工控生产数据和指令在传输和存储时进行机密性保护及完整性校验。证书认证系统负责对人员、设备进行证书的全生命周期管理,密钥管理系统对加密密钥进行全生命周期的管理。
方案优势
产业生态协同升级,构建工业控制系统“内生安全”机制。
符合GB/T39786当中的技术要求和密钥管理要求。
有效构建电厂安全密码屏障,保障内部数据的机密性、完整性和人员身份的真实性。
微信公众号
